El equipo de investigación Project Zero de Google ha detallado una sofisticada operación de piratería que descubrió el año pasado y que estaba dirigida a los propietarios de dispositivos Windows y Android. La operación aprovechó las vulnerabilidades de Windows y Chrome para instalar malware en los dispositivos.
Los investigadores dijeron que descubrieron dos servidores de explotación que ofrecen diferentes cadenas de explotación a través de ataques de pozo de agua. Un servidor apuntó a los usuarios de Windows, el otro apuntó a Android. Tanto los servidores de Windows como los de Android utilizaron exploits de Chrome para la ejecución remota inicial del código, incluidas las fallas de día cero. Para Android, las cadenas de exploits utilizaron exploits de n días conocidos públicamente, dijo Google.
El equipo cree que, en base a la sofisticación de la campaña, el actor de la amenaza detrás de ella probablemente tuvo acceso a los días cero de Android, sin embargo, no encontraron tales exploits durante su investigación.
Los investigadores pudieron extraer contenidos de los servidores, que incluyen:
- El renderizador explota cuatro errores en Chrome, uno de los cuales todavía era un día 0 en el momento del descubrimiento.
- Dos exploits de escape de sandbox que abusan de tres vulnerabilidades de día cero en Windows.
- Un "kit de escalada de privilegios" compuesto por exploits de n días conocidos públicamente para versiones anteriores de Android.
En cuanto a los días cero de Chrome, fueron los siguientes:
- CVE-2020-6418 - Vulnerabilidad de Chrome en TurboFan (corregido en febrero de 2020)
- CVE-2020-0938 - Vulnerabilidad de fuentes en Windows (corregido en abril de 2020)
- CVE-2020-1020 - Vulnerabilidad de fuentes en Windows (corregido en abril de 2020)
- CVE-2020-1027 : vulnerabilidad de CSRSS de Windows (solucionada en abril de 2020)
“Entendemos que este atacante está operando una infraestructura de focalización compleja, aunque no parece que se use siempre. En algunos casos, los atacantes utilizaron un exploit de renderizador inicial para desarrollar huellas digitales detalladas de los usuarios desde el interior del sandbox. En estos casos, el atacante adoptó un enfoque más lento: devolvió docenas de parámetros desde el dispositivo del usuario final, antes de decidir si continuar o no con una mayor explotación y usar un escape de la caja de arena. En otros casos, el atacante optaría por explotar completamente un sistema de inmediato (o no intentar ninguna explotación) ”, dijeron los investigadores.
El análisis de las cadenas de explotación reveló que se trata de un código complejo y bien diseñado con una variedad de métodos de explotación novedosos, registros maduros, técnicas de posexplotación sofisticadas y calculadas y grandes volúmenes de comprobaciones antianálisis y de focalización, probablemente creadas por desarrolladores expertos. .
Google no compartió ningún detalle sobre los atacantes, el alcance de esta campaña o el tipo de víctimas objetivo.
https://www.cybersecurity-help.cz/blog/1867.html
